Proteção antispam no Exchange Server

  • Artigo

Spammers, ou remetentes mal-intencionados, usam uma variedade de técnicas para enviar email indesejado para sua organização. Nenhum processo ou ferramenta única pode eliminar todos os spams. No entanto, o Microsoft Exchange fornece uma abordagem em camadas e multifacetada para reduzir essas mensagens indesejadas. O Exchange usa agentes de transporte para fornecer proteção antispam e os agentes internos disponíveis em Exchange Server 2016 e Exchange Server 2019 estão relativamente inalterados em relação ao Exchange Server 2010. No Exchange 2016 e no Exchange 2019, a configuração e o gerenciamento desses agentes estão disponíveis apenas no Shell de Gerenciamento do Exchange.

Para obter mais recursos antispam e gerenciamento mais fácil, você pode comprar Proteção do Exchange Online (EOP), que faz parte do Microsoft 365 e Office 365. Para saber mais sobre a proteção antispam do Microsoft 365 ou Office 365, consulte Proteção anti-spam no EOP.

Agentes antispam em servidores de caixa de correio

Normalmente, você habilita os agentes antispam em um servidor de caixa de correio se sua organização não tiver um servidor de Transporte de Borda ou se ele não fizer outra filtragem antispam em mensagens de entrada. Para saber mais, confira Habilitar a funcionalidade antispam em servidores Caixa de Correio.

Como todos os agentes de transporte, cada agente antispam recebe um valor de prioridade. Um valor menor indica uma prioridade maior, portanto, normalmente, um agente antispam com prioridade 1 atua em uma mensagem antes de um agente antispam com prioridade 9. No entanto, o evento SMTP no pipeline de transporte em que o agente antispam é registrado também é muito importante para determinar a ordem de que o agente antispam atue nas mensagens. Um agente antispam de baixa prioridade registrado no início do pipeline de transporte atua em mensagens diante de um agente antispam de alta prioridade que é registrado mais tarde no pipeline de transporte.

Com base no valor de prioridade padrão do agente e no evento SMTP em que o agente está registrado, essa é a ordem para que os agentes antispam sejam aplicados a mensagens em servidores de caixa de correio:

  1. Agente de filtro de remetente: a filtragem de remetente compara o servidor de envio a uma lista de remetentes ou domínios de remetente que são proibidos de enviar mensagens para sua organização. Para obter mais informações, consulte Filtragem de remetentes.

  2. Agente de ID do remetente: a ID do remetente depende do endereço IP do servidor de envio e do Suposto Endereço Responsável (PRA) do remetente para determinar se o endereço de email de envio é falsificado. Para obter mais informações, consulte ID de Remetentes.

  3. Agente filtro de conteúdo: o agente de filtragem de conteúdo atribui um nível de confiança de spam (SCL) a cada mensagem com base em dados de mensagens legítimas e de spam. Para obter mais informações, consulte Filtragem de Conteúdo.

    A quarentena de spam é um componente do agente filtro de conteúdo que reduz o risco de perder mensagens legítimas classificadas incorretamente como spam. A quarentena de spam fornece um local de armazenamento temporário para mensagens suspeitas para que um administrador possa examinar as mensagens. Para obter mais informações, consulte Quarentena de spam no Exchange Server.

    A filtragem de Conteúdo também utiliza o recurso de agregação de listas seguras. A agregação de listas seguras coleta dados de listas seguras que os usuários configuram na Microsoft, no Outlook e no Outlook na Web e disponibiliza essas informações para o agente de Filtro de Conteúdo. Para obter mais informações, consulte Agregação de listas seguras.

  4. Agente de análise de protocolo (reputação do remetente): o agente de Análise de Protocolo é o agente que fornece a reputação do remetente. A reputação do remetente usa vários testes para calcular um SRL (nível de reputação do remetente) em mensagens de entrada que determinam a ação para assumir essas mensagens. Para mais informações, consulte Reputação do remetente e o agente de análise de protocolo.

Agentes antispam em servidores de transporte do Edge

Se sua organização tiver um servidor de Transporte do Edge instalado na rede de perímetro, todos os agentes antispam disponíveis em um servidor da Caixa de Correio serão instalados e habilitados por padrão no servidor de Transporte de Borda. No entanto, os seguintes agentes antispam estão disponíveis apenas em servidores do Edge Transport:

  • Agente de filtragem de conexão: a filtragem de conexões usa uma lista de blocos IP, lista de permissões de IP, provedores de lista de blocos IP e provedores de lista permitem que os provedores de lista determinem se uma conexão deve ser bloqueada ou permitida. Para obter mais informações, consulte Filtragem de conexões nos servidores de Transporte de Borda.

  • Agente de filtro de destinatário: a filtragem do destinatário usa uma lista de blocos de destinatário para identificar mensagens que não têm permissão para entrar na organização. O filtro de destinatário também usa o diretório de destinatários local para rejeitar mensagens enviadas a destinatários inválidos. Para mais informações, consulte Filtragem de destinatário nos servidores de Transporte de Borda.

    Observação

    Embora o agente Filtro de Destinatários esteja disponíveis em servidores de caixas de correio, você não deve configurá-lo. Quando um filtro de destinatários, em um servidor de caixas de correio, detecta um destinatário inválido ou bloqueado em uma mensagem contendo outros destinatários válidos, a mensagem é rejeitada. O agente filtro de destinatário é habilitado quando você instala os agentes antispam em um servidor de caixa de correio, mas não está configurado para bloquear nenhum destinatário.

  • Agente de filtragem de anexo: a filtragem de anexos bloqueia mensagens ou anexos com base no nome do arquivo de anexo, extensão ou tipo de conteúdo MIME. Para obter mais informações, consulte Filtragem de anexos nos servidores de Transporte de Borda.

Com base no valor de prioridade padrão do agente antispam e no evento SMTP no pipeline de transporte em que o agente está registrado, esta é a ordem para que os agentes antispam sejam aplicados a mensagens em servidores de Transporte de Borda:

  1. Agente de Filtragem de Conexão

  2. Agente de Filtro por Remetente

  3. Agente de Filtro de Destinatários

  4. Agente de ID de Remetente

  5. Agente de Filtro de Conteúdo

  6. Agente de Análise de Protocolo (reputação do remetente)

  7. Agente de Filtragem de Anexo

Carimbos antispam

Os selos antispam são aplicados a mensagens e são usados pelos agentes antispam. Você pode exibir os selos antispam para ajudar a diagnosticar problemas relacionados ao spam. Para mais informações, consulte Carimbos antispam.

Estratégia para abordagem antispam

Antispam é um ato de balanceamento entre bloquear mensagens indesejadas e permitir mensagens legítimas. Se você configurar os recursos antispam de forma muito agressiva, provavelmente bloqueará muitas mensagens legítimas (falsos positivos). Se você configurar os recursos antispam muito vagamente, provavelmente permitirá muito spam em sua organização.

Estas são algumas práticas recomendadas a serem consideradas ao configurar os recursos antispam internos no Exchange:

  • Rejeite as mensagens identificadas pelo agente de filtragem de conexões, pelo agente de filtro de destinatário e pelo agente filtro de remetente, em vez de quarantinar as mensagens ou aplicar selos antispam. Essa abordagem é recomendada por esses motivos:

    • As mensagens identificadas pelas configurações padrão da filtragem de conexões, filtragem de destinatários ou filtragem de remetentes normalmente não requerem testes adicionais para determinar se são indesejadas. Por exemplo, se você configurou a filtragem de remetentes para bloquear remetentes específicos, não há motivo para continuar a processar mensagens desses remetentes. (Se você não quisesse que as mensagens fosse rejeitadas, não as colocaria na lista de remetentes bloqueados).

    • Configurar um nível mais agressivo para os agentes antispam que encontram mensagens no início do pipeline de transporte salva o processamento, a largura de banda e os recursos de disco. Quanto mais longe no pipeline de transporte uma mensagem viaja, maior número de variáveis que os recursos antispam restantes precisam avaliar para identificar com êxito a mensagem como spam. Rejeite mensagens óbvias mais cedo para que você possa processar mensagens ambíguas mais tarde.

  • Você precisa monitorar a eficácia dos recursos antispam em seus níveis de configuração atuais. O monitoramento permite que você reaja às tendências e aumente ou diminua a agressividade das configurações. Você deve começar com as configurações padrão para minimizar o número de falsos positivos. À medida que monitora a quantidade de spam e falsos positivos, você pode aumentar a agressividade das configurações com base no tipo de spam e dos ataques de spam que sua organização enfrenta.

Confira também

Proteção anti-spam no EOP